加固基于Windows 2003的WEB服务器

[ 2006-08-19 13:36:23 | Author: zhenhua ]
Font Size: Large | Medium | Small
可禁用服务列表

•Application Experience Lookup Service
•Automatic Updates
•BITS
•Computer Browser
•DHCP Client
•Error Reporting Service
•Help and Support
•Network Location Awareness
•Print Spooler
•Remote Registry
•Secondary Logon
•Server
•Smartcard
•TCP/IP NetBIOS Helper
•Workstation
•Windows Audio
•Windows Time
•Wireless Configuration

打开服务器本地计算机策略(gpedit.msc),参考以下选择和修改对服务器进行加固:
1. 设置帐号锁定阀值为5次无效登录,锁定时间为30分钟;
2. 从通过网络访问此计算机中删除Everyone组;
3. 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
4. 为交互登录启动消息文本。
5. 启用 不允许匿名访问SAM帐号和共享;
6. 启用 不允许为网络验证存储凭据或Passport;
7. 启用 在下一次密码变更时不存储LANMAN哈希值;
8. 启用 清除虚拟内存页面文件;
9. 禁止IIS匿名用户在本地登录;
10. 启用 交互登录:不显示上次的用户名;
11. 从文件共享中删除允许匿名登录的DFS$和COMCFG;
12. 禁用活动桌面。

强化TCP协议栈:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000001
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005

•安装和配置IIS
进入Windows组件安装,找到应用程序服务器,进入详细信息,勾选ASP.NET后,IIS必须的组件就会被自动选择,如果你的服务器需要运行ASP脚本,那么还需要进入Internet信息服务(IIS)-万维网服务下勾选Active Server Pages。完成安装后,应当在其他逻辑分区上单独建立一个目录用来存储WEB网站程序及数据。
一台WEB服务器上都运行着多个网站,他们之间可能互不相干,所以为了起到隔离和提高安全性,需要建立一个匿名WEB用户组,为每一个站点创建一个匿名访问账号,将这些匿名账号添加到之前建立的匿名WEB用户组中,并在本地计算机策略中禁止此组有本地登录权限。
最后优化IIS6应用程序池设置:
1. 禁用缺省应用程序池的空闲超时;
2. 禁用缓存ISAPI扩展;
3. 将应用程序池标识从NetworlService改为LocalService;
4. 禁用快速失败保护;
5. 将关机时间限制从90秒改为10秒;
6. 内存回收下最大使用的内存改为300M;
注:应根据当前服务器运营的业务进行评估并对某些网站配置应用程序池,这样可以降低当机率,并且也保证网站的可访问率,同时在出现故障时可以方便的排查。

•安装和配置Serv-U FTP Server
这里之所以要将Serv-U FTP Server作为部署案例,是因为Serv-U使用者之多,操作及管理方便。并且从Serv-U的配置上大家应该能够理解到我开头说提到的服务运行权限。 Serv-U的安装不再复述,很多人在安装后就开始直接使用,自从Serv-U的溢出漏洞出现使我开始重新认识和思考关于服务的运行权限问题,通常 Serv-U是以SYSTEM权限来运行服务的,这样的好处是我们可以轻松的访问系统任何一个角落,包括注册表(在Serv-U溢出后,可以直接访问注册表中账号存储设定的关键项SAM),但是后果也是非常可怕的,所以分析了目前的服务器情况,为了方便起见我创建了一个具有管理员身份的账号来运行Serv -U,这样做是为了不需要重复的去设置目录权限,同时解决低级权限所可能造成的兼容性问题。但是为了保证这个账号的安全,需要禁止它具有远程桌面访问权利,禁止有本地登录的权利。
Comments Feed Comments Feed: http://www.zhenhua.org/feed.asp?q=comment&id=395
UTF-8 Encoding Trackback URL: http://www.zhenhua.org/trackback.asp?id=395

There is no comment on this article.

If you feel this site you find this information helpful, please click on the donation, which is voluntary,Thank you.
Post Comment
Smilies
[arrow] [biggrin] [confused] [cool]
[cry] [eek] [evil] [exclaim]
[frown] [idea] [lol] [mad]
[mrgreen] [neutral] [question] [razz]
[redface] [rolleyes] [sad] [smile]
[surprised] [twisted] [wink]
Enable UBB Codes
Auto Convert URL
Show Smilies
Hidden Comment
Username:   Password:   Register Now?
Security Code * Please Enter the Security Code